安全访问网关(SAG)产品快速使用手册4.0.docVIP

目 录 第一章 前言 3 第二章 初次使用SAG 4 2.1 安装部署 4 2.2 采用WebUI方式管理 4 第三章 快速使用 7 3.1 字符服务访问过程 7 3.2 图形服务访问过程 17 3.2.1 RDP访问过程 17 3.2.2 VNC访问过程 25 3.2.3 X11访问过程 26 3.3 文件传输服务访问过程 28 3.4 Web服务访问过程 32 3.5 应用程序访问过程 35 前 言 本文档编写目的主要是介绍如何利用安全访问网关提供的管理、授权、审计等诸多功能来强化现有的安全管理制度。 南京索特科技有限公司拥有本文档的全部版权。未经本公司书面许可，任何单位及个人不得以任何方式或理由对本文档的任何部分进行复制、抄录、传播或将技术文档翻译成他国语言。 本文档适用于系统管理员，以及所有进行设备安装、调试的工程师、技术支持人员等。 初次使用SAG 安装部署 安全访问网关产品可以安装在标准的19英寸的机架上，也可独立安装在任何平稳的表面上，但要确保设备四周有3.75厘米左右的空间让设备正常散热。 网络连接方法如下： 将eth0号网口作为默认网络接口连接到用户内部网络，或可访问的网络节点。 将eth1号网口作为HA端口连接到另一台SAG设备上，若无需HA功能，则无需连接此接口。 网络部署 采用WebUI方式管理 出厂配置 eth0号网口地址为： 用户名及口令： 用户名 口令 管理方式 备注 admin admin123!@# Web方式，即HTTPS 系统内置用户，不可删除，可修改密码。 具体步骤： 1）将安全访问网关的eth0号网口和管理PC连接在一起。或者将两台设备通过直连线连接在同一网络上。 2）将管理PC配置到和安全访问网关一个网段。设置管理PC的IP地址为01，同时将网络掩码设为。 3）启动IE浏览器（微软Internet Explorer 8.0），在地址栏里输入“”，进入安全访问网关的Web用户界面。 登录界面 4）输入用户名“admin”，口令“admin123!@#”，如果错误输入用户名或密码超过两次需要输入验证码。 登录系统后如果系统没有注册License或License失效 ，弹出license验证失败对话框，点击“确定”，系统提示用户导入License。 License验证失败 如何没有修改SAG IP地址。系统会弹出页面，提醒用户正确设置SAG IP地址，如下图所示： 提示 点击【确定】按钮，设置SAG IP地址，如下界面： 修改网络接口 修改SAG网关地址，将eth0修改为用户规划的IP，如：30，然后点击【完成并应用更新】按钮即可。由于IP即时生效，网络会中断； 地址修改之后，重新按照上述步骤登录，（注意：此时SAG登录地址为修改后的新IP地址） 快速使用 字符服务访问过程 字符服务支持SSH、Telnet、Rlogin协议，它们的访问过程类似，下面以SSH访问过程为例。 SSH访问过程流程图为： SSH访问过程流程图 使用putty工具直接登录到SAG访问过程事例详解： 1）快速授权，打开【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、资源组，并指定对应的授权策略。 2）授权完成后，打开putty工具，输入SAG服务器IP地址及服务端口号,登录到SAG服务器。 打开putty工具 3）输入网关用户名及密码，如输入用户user001，密码1234abcd，通过认证后显示网关用户可使用资源列表。 资源列表界面 4）选择一个服务器SSH服务账号，如上图中选择“4”，直接登录到目标服务器；或者选择手工方式，如选择“1”，输入目标服务器IP、SSH服务账号及密码登录到目标服务器，如图所示。 字符服务手工代填账号 5）目标服务器认证通过后，登录到目标服务器。 6）维护管理员打开【操作审计-活动会话】菜单，打开活动会话界面，查看当前正在进行的字符会话，可实时监控用户会话或直接断开会话。 活动会话查询 点击【实时监控】按钮，可对当前的这个会话进行实时监控，在监控窗口中网关用户输入的命令以及输出都可以在portal的监控屏幕上实时看到。 实时监控字符会话 7）审计会话 管理员打开【操作审计-会话查询列表】菜单，选择字符会话类型，查看字符会话，可查看会话操作命令、在线回放会话或下载保存、离线回放。 管理员打开【操作审计-会话搜索】菜单，按照模板方式或关键字搜索会话，浏览会话全文、查看会话命令行信息。 管理员打开【操作审计-审计分类】菜单，查看会话风险级别及会话命令全文。 通过SAG管理平台的访问过程事例详解： 1）快速授权，管理员选择【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、资源组，并指定对应的授权策略。 2）网关用户打开SAG管理界面。 打开SAG登录界面